<br><br><div class="gmail_quote">On Mon, Dec 14, 2009 at 9:14 AM, Todd Wease <span dir="ltr"><<a href="mailto:twease@...402...">twease@...3007......</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
The total count includes packets off the wire as well as reassembled<br>
packets.  The extra packet is probably a stream reassembled one.<br></blockquote><div><br>Your original e-mail included this count:<br><br>S5 G 2: 1<br><br>which, as others indicated, is a reassembled "pseudo"-packet.  In this case, when the session was cleaned up, the queued server data was flushed producing this packet.<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5"><br>
On 12/14/2009 09:03 AM, danjobkeule wrote:<br>
> Hi, i'm using snort-2.8.3.1. Here is the link to the pcap:<br>
><br>
> <a href="http://uploaded.to/file/la8d4t" target="_blank">http://uploaded.to/file/la8d4t</a><br>
><br>
> Danjobkeule<br>
><br>
><br>
>> Hi,<br>
>> what's snort version you use please?<br>
>> maybe send pcap to list ?<br>
>> Regards<br>
>> Rmkml<br>
>> Crusoe-Researches.com<br>
>><br>
>><br>
>> On Wed, 9 Dec 2009, danjobkeule wrote:<br>
>><br>
>>> dear community,<br>
>>><br>
>>> i am wondering about snort processing 3 packets, although in the pcap i<br>
>>> feed snort with are just 2 packets (both are SMB packets).<br>
>>> How can that be? I assume that some preprocessors "generate" a new<br>
>>> packet, but could anybody give an explanation for that?<br>
>>><br>
>>><br>
>>><br>
>>><br>
>>> ===============================================================================<br>
>>><br>
>>><br>
>>> Snort processed 3<br>
>>> packets.<br>
>>> ===============================================================================<br>
>>><br>
>>><br>
>>> Breakdown by protocol (includes rebuilt<br>
>>> packets):<br>
>>> ETH: 3<br>
>>> (100.000%)<br>
>>> ETHdisc: 0<br>
>>> (0.000%)<br>
>>> VLAN: 0<br>
>>> (0.000%)<br>
>>> IPV6: 0<br>
>>> (0.000%)<br>
>>> IP6 EXT: 0<br>
>>> (0.000%)<br>
>>> IP6opts: 0<br>
>>> (0.000%)<br>
>>> IP6disc: 0<br>
>>> (0.000%)<br>
>>> IP4: 3<br>
>>> (100.000%)<br>
>>> IP4disc: 0<br>
>>> (0.000%)<br>
>>> TCP 6: 0<br>
>>> (0.000%)<br>
>>> UDP 6: 0<br>
>>> (0.000%)<br>
>>> ICMP6: 0<br>
>>> (0.000%)<br>
>>> ICMP-IP: 0<br>
>>> (0.000%)<br>
>>> TCP: 2<br>
>>> (66.667%)<br>
>>> UDP: 0<br>
>>> (0.000%)<br>
>>> ICMP: 0<br>
>>> (0.000%)<br>
>>> TCPdisc: 0<br>
>>> (0.000%)<br>
>>> UDPdisc: 0<br>
>>> (0.000%)<br>
>>> ICMPdis: 0<br>
>>> (0.000%)<br>
>>> FRAG: 0<br>
>>> (0.000%)<br>
>>> FRAG 6: 0<br>
>>> (0.000%)<br>
>>> ARP: 0<br>
>>> (0.000%)<br>
>>> EAPOL: 0<br>
>>> (0.000%)<br>
>>> ETHLOOP: 0<br>
>>> (0.000%)<br>
>>> IPX: 0<br>
>>> (0.000%)<br>
>>> OTHER: 0<br>
>>> (0.000%)<br>
>>> DISCARD: 0<br>
>>> (0.000%)<br>
>>> InvChkSum: 0<br>
>>> (0.000%)<br>
>>> S5 G 1: 0<br>
>>> (0.000%)<br>
>>> S5 G 2: 1<br>
>>> (33.333%)<br>
>>> Total:<br>
>>> 3<br>
>>> ===============================================================================<br>
>>><br>
>>><br>
>>> Action<br>
>>> Stats:<br>
>>><br>
>>> ALERTS:<br>
>>> 1<br>
>>><br>
>>> LOGGED:<br>
>>> 1<br>
>>><br>
>>> PASSED:<br>
>>> 0<br>
>>><br>
>>> ===============================================================================<br>
>>><br>
>>> Stream5 statistics:<br>
>>> Total sessions: 1<br>
>>> TCP sessions: 1<br>
>>> UDP sessions: 0<br>
>>> ICMP sessions: 0<br>
>>> TCP Prunes: 0<br>
>>> UDP Prunes: 0<br>
>>> ICMP Prunes: 0<br>
>>> TCP StreamTrackers Created: 1<br>
>>> TCP StreamTrackers Deleted: 1<br>
>>> TCP Timeouts: 0<br>
>>> TCP Overlaps: 0<br>
>>> TCP Segments Queued: 1<br>
>>> TCP Segments Released: 1<br>
>>> TCP Rebuilt Packets: 1<br>
>>> TCP Segments Used: 1<br>
>>> TCP Discards: 0<br>
>>> UDP Sessions Created: 0<br>
>>> UDP Sessions Deleted: 0<br>
>>> UDP Timeouts: 0<br>
>>> UDP Discards: 0<br>
>>> Events: 0<br>
>>> ===============================================================================<br>
>>><br>
>>> HTTP Inspect - encodings (Note: stream-reassembled packets included):<br>
>>> POST methods: 0<br>
>>> GET methods: 0<br>
>>> Headers extracted: 0<br>
>>> Header Cookies extracted: 0<br>
>>> Post parameters extracted: 0<br>
>>> Unicode: 0<br>
>>> Double unicode: 0<br>
>>> Non-ASCII representable: 0<br>
>>> Base 36: 0<br>
>>> Directory traversals: 0<br>
>>> Extra slashes ("//"): 0<br>
>>> Self-referencing paths ("./"): 0<br>
>>> Total packets processed: 3<br>
>>> ===============================================================================<br>
>>><br>
>>> ===============================================================================<br>
>>><br>
>>> Snort exiting<br>
>>><br>
>>> ------------------------------------------------------------------------------<br>
>>><br>
>>> Return on Information:<br>
>>> Google Enterprise Search pays you back<br>
>>> Get the facts.<br>
>>> <a href="http://p.sf.net/sfu/google-dev2dev" target="_blank">http://p.sf.net/sfu/google-dev2dev</a><br>
>>> _______________________________________________<br>
>>> Snort-devel mailing list<br>
>>> <a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@lists.sourceforge.net</a><br>
>>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
>>><br>
>><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Return on Information:<br>
> Google Enterprise Search pays you back<br>
> Get the facts.<br>
> <a href="http://p.sf.net/sfu/google-dev2dev" target="_blank">http://p.sf.net/sfu/google-dev2dev</a><br>
> _______________________________________________<br>
> Snort-devel mailing list<br>
> <a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...2969....sourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
<br>
</div></div>------------------------------------------------------------------------------<br>
<div><div></div><div class="h5">Return on Information:<br>
Google Enterprise Search pays you back<br>
Get the facts.<br>
<a href="http://p.sf.net/sfu/google-dev2dev" target="_blank">http://p.sf.net/sfu/google-dev2dev</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
</div></div></blockquote></div><br>